질문
Windows 7/Vista 클라이언트의 트래픽이 액세스 로그에서 사용자 대신 워크스테이션을 표시하는 이유는 무엇입니까?
환경
Microsoft Windows 7, Microsoft Windows Vista, Cisco Web Security Appliance(모든 버전), 서로게이트 유형: IP 주소
증상
액세스 로그의 특정 로그 줄에 DOMAIN\USER 대신 컴퓨터 시스템 이름이 표시됩니다.
Microsoft는 Windows 7과 Windows Vista에 "NCSI(Network Connectivity Status Indicator)"라는 새로운 기능을 도입했습니다. 이 기능은 시스템 트레이의 네트워크 인터페이스 아이콘 위에 나타나는 작은 지구본 아이콘으로 표시됩니다. 로그인 후 즉시 이 기능은 인터넷 연결이 있는지 확인하기 위해 인터넷에서 데이터를 요청합니다.
NTLM 인증이 필요한 경우 사용자 자격 증명 대신 머신 자격 증명을 전송하는 NCSI에 알려진 문제가 있습니다.
NCSI는 PC에서 WSA로 첫 번째 요청을 전송할 가능성이 높으므로 아직 서로게이트가 존재하지 않으며 실제 사용자 이름 대신 머신 이름을 사용하는 새로운 IP 기반 서로게이트가 생성됩니다. 이 서로게이트는 서로게이트가 시간 초과되어 사용자가 다시 인증해야 할 때까지 초기 IP 주소의 모든 요청에 사용됩니다. 이번에는 실제 자격 증명을 사용합니다.
컴퓨터 이름이 처음에 의도한 AD 그룹의 멤버가 아닐 가능성이 높으므로 모든 요청이 올바른 액세스/암호 해독 정책을 트리거하지 않으며, 이로 인해 요청이 차단되는 경우도 있습니다.
NCSI에 대한 자세한 내용은 다음 Microsoft KB 문서를 참조하십시오.
문제를 해결하려면 아래 지침을 참조하십시오.
- 작업 메뉴에서 "regedit"를 검색하여 레지스트리 편집기를 시작합니다. 마우스 오른쪽 단추를 누르고 "관리자로 실행"을 선택해야 합니다.
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet으로 이동합니다.
- 인터넷 키 아래에서 "EnableActiveProbing"을 두 번 클릭한 다음 값 데이터에 0을 입력합니다.
- "확인"을 클릭합니다.
- 컴퓨터를 다시 시작합니다.
이러한 변경 사항은 도메인 컨트롤러를 사용하여 모든 클라이언트에 GPO(Global Policy Object)로 적용될 수 있습니다.
WSA의 해결 방법
NCSI의 ID를 생성하고 URL 또는 해당 User Agent를 기반으로 인증에서 제외합니다.
NCSI가 연결되는 알려진 URL
ncsi.glbdns.microsoft.com
newncsi.glbdns.microsoft.com
www.msftncsi.com
NCSI 사용자 에이전트
Microsoft NCSI